Mybatis中 #{} 和 ${} 的区别

最新推荐文章于 2025-07-15 15:56:34 发布
转载 最新推荐文章于 2025-07-15 15:56:34 发布 · 160 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://zhuanlan.zhihu.com/p/138855563
文章标签:

#mybatis

讲一下Mybatis中 #{}和${}的区别?

部分内容涉及到 MySQL的预编译

该文章转载自知乎【小飞侠】 的【吊打面试官之:Mybatis中 #{}和${}的区别】

情况一:只用 #{}
 <select id="getUserByNameAndPsw" resultType="com.hotel3.model.User"> 
       select * from USER where userName=#{userName} and userPassword =#{userPassword}; 
</select>

结果:

==> Preparing: select * from USER where userName=? and userPassword =?;
==> Parameters: mww(String), 123(String) <== Total: 1

结论: #{}会在预编译期,生成两个 ?,作为占位符。

情况二:一个用 ${} 一个用 #{}
<select id="getUserByNameAndPsw" resultType="com.hotel3.model.User"> 
	select * from USER where userName=${userName} and userPassword =#{userPassword}; 
</select>

结果:

 ==> Preparing: select * from USER where userName=mww and userPassword =?;
 ==> Parameters: 123(String)

结论: 很显然 ${} 是直接拼成字符串的 ,#{} 是生成 ?占位符。 而且因为 userName:mww 是字符串,所以 这种写法显然也是错误的。会报出如下错误:

Error querying database. Cause: java.sql.SQLSyntaxErrorException: Unknown column ‘mww’ in ‘where clause’

所以正确的写法是这样的:为字符串字段加上单引号 ’ '

<select id="getUserByNameAndPsw" resultType="com.hotel3.model.User"> 
	select * from USER where userName='${userName}' and userPassword =#{userPassword}; 
</select>

结果:

==> Preparing: select * from USER where userName='mww' and userPassword =?; 
==> Parameters: 123(String) <== Total: 1

结论:

显然这种写法是正确的,从这里可以看出,预编译期 $ {} 是直接把参数拼结到SQL中,运行时,就只传入了一个 #{} 修饰的参数。${}的这种写法还有一个安全隐患,那就是 SQL注入。
情况三: ${} SQL注入:
<select id="getUserByNameAndPsw" resultType="com.hotel3.model.User"> 
	select * from USER where userName='${userName}' and userPassword =#{userPassword};
</select>

结果:

==> Preparing: select * from USER where userName='' OR 1=1 OR '' and userPassword =?; 
==> Parameters: 65787682342367(String) <== Total: 2

结论:

只要我们在 ${} 输入 ’ OR 1=1 OR ’ 无论后面的密码输入什么都可以,查询到数据,这种情况就是SQL注入。
情况四:#{} 防止SQL注入
<select id="getUserByNameAndPsw" parameterType="map" resultType="com.hotel3.model.User">
	 select * from USER where userName=#{userName} and userPassword =#{userPassword}; 
</select>

结果:

==> Preparing: select * from USER where userName=? and userPassword =?; 
==> Parameters: ' OR 1=1 OR '(String), 123(String) <== Total: 0

结论:

上面预编译SQL的参数已经由占位符 { ?} 代替,所以传入的 ’ OR 1=1 OR ’ 只会作为 userName字段的值,而不会拼入执行的SQL。这样就达到了防止SQL注入的目的。
在这种用法中, #{} 显然比 ${} 用法更好。那 ${} 为什么经常在 Mybatis 使用呢?

${}正确用法(个人见解):

1、同时传入一个字段名和字段值:
User u=userService.getUserByNameAndPsw("userName,userType,userPassword",userName,userPassword);
SQL: select ${arg0} from USER

<select id="getUserByNameAndPsw" resultType="com.hotel3.model.User">
	 select ${arg0} from USER where userName=#{userName} and userPassword =#{userPassword}; 
</select>

结果:

==> Preparing: select userName,userType,userPassword from USER where userName=? and userPassword =?;
==> Parameters: mww(String), 123(String) <== Total: 1

结论:

生成了我们想要SQL语句 :select userName,userType,userPassword from USER。。。。
2、传入两个字段名和字段值:
User u=userService.getUserByNameAndPsw("userName,userType,userPassword",userName,userName,userPassword);
SQL: select ${arg0} from USER where ${arg1}=#{userName}

<select id="getUserByNameAndPsw" resultType="com.hotel3.model.User"> 
	select ${arg0} from USER where ${arg1}=#{userName} and userPassword =#{userPassword}; 
</select>

结果:

==> Preparing: select userName,userType,userPassword from USER where userName=? and userPassword =?;
==> Parameters: mww(String), 123(String) <== Total: 1

结论:

按照传参的顺序匹配 SQL 中的 $ {arg0},$ {arg1}…生成我们想要的代码,但这个方式会使Mybatis 的 Mapper 文件可读性变差,如果不看其他的代码,很难辨别 $ {arg0} ,$ {arg1} 代表的含义。
3、使用Map传值,提高 Mapper 文件的可读性
Map map =new HashMap(); 
map.put("selectValues","userName,userType,userPassword"); 
map.put("userNamefieId","userName"); 
map.put("userName",userName); 
map.put("userPassword",userPassword); 
User u=userService.getUserByNameAndPsw(map);

Mapper 文件的 xml

<select id="getUserByNameAndPsw" parameterType="map" resultType="com.hotel3.model.User"> 
	select ${selectValues} from USER where ${userNamefieId}=#{userName} and userPassword =#{userPassword}; 
</select>

结果:

==> Preparing: select userName,userType,userPassword from USER where userName=? and userPassword =?; 
==> Parameters: mww(String), 123(String) <== Total: 1

结论:

结果和arg0、arg1的传值方式相同,但 Mapper 文件的 xml 中的SQL语句可以 通过对 map 中 key 值命名提高可读性。

注1:以上SQL,均为预编期生成的SQL。
注2:${} 每次传值不同 SQL 语句不同,可以灵活生成 SQL,
但每次都需要进行预编译,对效率会有影响,至于要不要使用 ${}还要具体情况具体分析。 肯定还有 ${}
其他的用法,欢迎留言评论,共同探讨,待续。。。。

Good_omen
关注
【编程基础知识】Mybatis#$两种参数替换符合有啥区别
Dylaniou的博客
09-09 411
Mybatis#$两种参数替换符合有啥区别
MyBatis#$符的区别,sql注入问题,动态sql语句
m0_73381672的博客
02-06 2056
#{}${}都是MyBatis提供的sql参数替换。区别是: #{}是预编译处理,${}是字符串直接替换。 #{}可以防止SQL注入,${}存在SQL注入的风险,例如 “' or 1='1” 虽然存在SQL注入风险,但也有自己的适用场景,比如排序功能,表名,字段名等作为参数传入时。 #{}模糊查询要搭配使用mysql内置的拼接函数concat,安全性高。模糊查询虽然${}可以完成,但是存在SQL注入,不安全。
Mybatis#{}${}的区别是什么?
whitek387的博客
07-30 1319
原文链接,讲的很细!!!!! 动态 sql 是 MyBatis 的主要特性之一,在 mapper 中定义的参数传到 xml 中之后,在查询之前 MyBatis 会对其进行动态解析。MyBatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${}。 面试题:#{}KaTeX parse error: Expected 'EOF', got '#' at position 13: {}的区别是什么? 1)#̲{}是预编译处理, {}是字符串替换。 2)MyBatis在处理#{}时,会将SQL中的
Mybatis#{}${}的区别是什么?
weixin_52222660的博客
04-23 1400
mybatis编写SQL语句的时候,经常需要用到,那么用来替换变量值的操作这两个符号,同样在一些Java面试中也经常被问到它们的区别。那么它们在使用上面有什么区别呢?
Mybatis#{} ${}的区别是什么?
甜到你了么的博客
06-21 223
#{}是预编译处理,${}是字符串替换; Mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值; Mybatis在处理${}时,就是把${}替换成变量的值; 使用#{}可以有效的防止SQL注入,提高系统安全性。 ...
Mybatis#{} ${} 的区别是什么?
技术让我们连接在一起
03-04 581
{}:用于安全地传递参数,防止 SQL 注入,同时进行参数的类型转换。一般推荐在 SQL 查询中使用#{}。止 SQL 注入,同时进行参数的类型转换。一般推荐在 SQL 查询中使用#{}。${}:将参数直接拼接到 SQL 语句中,可能会带来 SQL 注入的风险。通常用于动态生成列名、表名等不容易被参数化的内容。
Mybatis#{}${}的区别是什么
末尾卡片和博主交流学习!
02-22 7839
【辰兮要努力】:hello你好我是辰兮,很高兴你能来阅读,昵称是希望自己能不断精进,向着优秀程序员前行! 博客来源于项目以及编程中遇到的问题总结,偶尔会有读书分享,我会陆续更新Java前端、后台、数据库、项目案例等相关知识点总结,感谢你的阅读关注,希望我的博客能帮助到更多的人,分享获取新知,大家一起进步! 吾等采石之人,应怀大教堂之心,愿你们奔赴在各自的热爱中… 文章目录一、文章序言二、业务场景三、补充讲解 一、文章序言 开局分享一波干货欢迎打卡! SSM框架常考面试题汇集 JAVA常见基础面试.
浅谈Mybatis #$区别以及原理
08-18
浅谈Mybatis #$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#$,它们均用于参数化SQL语句,但是它们的作用原理却有所不同,本文将详细介绍这两者的区别原理。 #$区别 在...
Mybatis#{}${}传参的区别#$区别小结
09-02
MyBatis框架中,`#{}``${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#``$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
浅谈mybatis中的#$区别
09-02
MyBatis中,`#``$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
MyBatis${ }与#{ }有什么区别?
春卷同学的博客
07-19 492
1、#{}是预编译处理,MyBatis在处理#{ }时,它会将sql中的#{ }替换为?,然后调用PreparedStatement的set方法来赋值; 2、${}是字符串替换,MyBatis在处理${ }时,它会将sql中的${ }替换为变量的值。 注意:使用${ }会导致 sql注入,不利于系统的安全性! SQL注入:就是通过把SQL命令插入到Web表单提交或输入域...
Mybatis中,#{}${}的区别是什么?
完全体
02-25 633
Mybatis 在处理#{}时,会将 sql 中的#{}替换为?使用#{}可以有效的防止 SQL注入,提高系统安全性。是两种不同的占位符,用于在 SQL 语句中插入参数。是字符串替换占位符,存在 SQL 注入风险,适合动态生成 SQL 语句的部分内容。是 MyBatis字符串替换占位符,用于直接替换 SQL 语句中的部分内容。:直接替换 SQL 语句中的内容,存在 SQL 注入风险。替换为实际的参数值,生成完整的 SQL 语句。替换为实际的表名,生成完整的 SQL 语句。设置参数,防止 SQL 注入。
mybatis中的#{}${}的区别是什么?
sfjsfukhdsfhis的博客
09-07 272
想必刚入门的小伙伴们有时候还傻傻分不清楚mybatis#{}${}的区别,今天我就让大家好好认识一下,顺便提一嘴mybatis的优缺点有哪些~ 1.#{}${}的区别是什么? ${}是Properties文件中的变量占位符,它可以用于标签属性值sql内部,属于静态文本替换,比如${driver}会被静态替换为com.mysql.jdbc.Driver。 #{}是sql的参数占位符,Mybatis会将sql中的#{}替换为?号,在sql执行前会使用PreparedStatement的参数设置方
Mybatis${} #{} 有什么区别
hhua0123的专栏
07-15 578
可以看出 ${} #{} 都是 MyBatis 中用来替换参数的,它们二者的区别主要体现在:${} 是直接替换,而 #{} 是预处理;需要传递普通参数时使用 #{};如果业务需要传递的是 SQL 命令或 SQL 关键字,需要使用${} ,但在使用前一定要做好安全验证;使用 ${} 存在安全问题,而 #{} 则不存在安全问题。
【Java面试】Mybatis#{}${}的区别是什么?
跟着Mic学架构
05-31 754
一个工作2年的粉丝,被问到一个Mybatis里面的基础问题。 需要高手面试文档(附赠阿里内部十万字面试文档)的小伙伴可以扫描文章底部二维码 普通人: Mybatis里面#{}${}的区别${}是一种可以动态替换的。 #{}是一种占位符。 高手: 好的,关于这个问题我从几个方面来回.
Mybatis常问:#{}与${}的区别
zjjcchina的博客
06-06 2229
查询到数据才可以是登录成功,否则表示登陆失败,但是会有这么一种情况,我们的SQL语句是由我们拼接的,如果用户故意输入可以让后台解析失败的字符串,这就是SQL注入,例如我们输入密码,输入 '''' ' or 1=1'' 这样,他会在后台进行拼接成select count(1) from table where username = 'username' and password = '' or 1=1;由结果可以看出,我们在没有密码的情况下依旧获取到了数据库的私密信息,由此可见${}存在很大的安全隐患。
MyBatis#{}${}的区别详解 区别
憧憬的专栏
05-19 543
区别 #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”. 将传入的数据直接显示生成在sql中。如:orderby将传入的数据直接显示生成在sql中。如:orderbyuser_id$,如果传入的值是111,那么解析成sql时的值为order by user_id, 如果传入的值是id,则解析成的sql为
Mybatis#{}与${}的区别
X_islu的博客
11-29 780
这两个语法是为了动态传递参数而存在的,是Mybatis实现动态SQL的基础,总体上他们的作用是一致的(为了动态传参),但是在编译过程、是否自动加单引号、安全性、使用场景等方面有很多不同,下面详细比较两者间的区别。3、传参时参数使用@Param("")注解,@Param注解的作用是给参数命名,参数命名后就能根据名字得到参数值(相当于又加了一层密)。${}默认值param1、param2、param3。#{}默认值arg0、arg1、arg2或0、1。1、能用 #{} 的地方就用 #{},尽量少用 ${}
mybatis#$区别
最新发布
01-03
MyBatis 中,`#` `$` 都用于在 SQL 语句中进行变量替换,但它们存在一些区别: - **参数传递类型**: - `#`:可传递任意类型的参数,包括普通类型(8 大基本数据类型、8 大包装类 String)对象。当传递...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值